UK Visa Portal 暴露护照和自拍：别把第三方代办当 GOV.UK

一家叫 UK Visa Portal 的第三方网站，被曝公开暴露了申请人上传的护照、自拍照和相关身份材料。

TechCrunch 5 月 26 日报道称，匿名人士提示至少有 10 万份文件处于暴露状态。TechCrunch 没有公布漏洞路径、检索方式等细节，以降低二次滥用风险。

这件事最容易被读错。

目前看到的不是 GOV.UK 被攻破，也不是英国政府签证系统泄露。问题出在一个与英国政府无关联的第三方代办网站。它收了最敏感的身份材料，却没有给出基本的安全响应。

我更在意的是这条缝：用户以为自己在办签证，实际把护照和人脸交给了一个很难判断资质、也很难追责的商业入口。

泄露了什么：不是普通账号，而是身份底牌

TechCrunch 称，已确认 UK Visa Portal 是数据泄露来源。媒体还通过联系部分受影响个人，核验了部分暴露数据的真实性。

这里要留一个边界：匿名人士提示“至少 10 万份文件”暴露，但这不是 TechCrunch 已完整核实的精确受害人数。它说明风险规模可能很大，不能直接等同于确切人数。

这类材料的麻烦在于，它不像密码一样可以马上重置。护照号、人脸照片、申请材料一旦外流，后续风险会拉得很长。

受影响最大的，是两类人。

一类是准备申请英国 ETA 或签证的人。现在最该做的不是找“更快入口”，而是先确认自己是不是在 GOV.UK。

另一类是已经向 UK Visa Portal 上传过材料的人。他们要把后续几周、几个月里的异常邮件、短信、付款提醒和身份核验通知当回事。

这不是制造恐慌。护照和人脸属于高敏身份凭证，泄露后的成本主要不在当下，而在之后每一次被拿去冒用时。

谁负责：风险焦点在第三方代办链条

UK Visa Portal 不是英国政府官网，也与英国政府无关联。TechCrunch 提到，一些用户曾在 Reddit 等平台抱怨，自己误以为该网站是官方渠道并付款。

英国 ETA 和相关申请通常可以通过 GOV.UK 官方网站办理。除非用户主动聘请移民律师，一般不需要经过普通第三方代办网站。

这就形成了一个很现实的对比。

第三方代办不天然违法，也不能直接说它就是诈骗。问题在于，越是收集高敏材料的网站，越应该有清楚的身份、责任人和安全报告入口。

TechCrunch 的描述恰好卡在这里：UK Visa Portal 网站没有安全问题报告入口，也没有列出管理层姓名或联系方式。媒体向网站邮箱告知安全问题后，收到的是所谓律师和公关公司的回复。

更要命的是，TechCrunch 要求与公司管理层直接对接漏洞细节后，管理层没有回应。报道发布时，漏洞仍未修复。

这说明问题不只在“有没有漏洞”。任何网站都可能出漏洞。真正拉开差距的是出事后的处理：谁接收漏洞、谁能拍板修复、谁通知用户、谁承担后果。

如果这些环节都找不到人，用户交出去的就不是一份申请材料，而是一份没有安全回执的身份底牌。

现在怎么避险：先认准入口，再盯住后续动作

准备申请英国 ETA 或签证的人，动作可以很具体：从 GOV.UK 开始，不要从搜索广告、相似域名、“加急代办”页面直接上传护照。

判断入口时，看两点就够用。

• 域名是否为 gov.uk。
• 页面是否明确指向英国政府的 ETA 或签证申请服务。

如果页面看起来像官方，但域名不是 gov.uk，就要停一下。尤其是它要求上传护照、自拍照、付款信息时，更要谨慎。

已经向 UK Visa Portal 上传过材料的人，目前能做的事有限，但不是只能等。

可以先做几件小事：保存付款记录、申请截图和往来邮件；留意冒充签证中心、航空公司、银行或政府部门的邮件短信；如果出现异常付款或身份核验通知，及时联系支付机构、发证机关或相关平台。

如果怀疑个人数据被滥用，还可以查看所在地的数据保护或消费者保护投诉渠道。涉及英国个人数据处理的，也可查看英国 ICO 对个人数据泄露投诉的公开说明。

接下来最该观察的，不是律师函和公关措辞，而是三件事：网站是否真正修复漏洞，是否主动通知受影响用户，是否有监管机构介入。

这起事件的主线并不复杂。

它不是“英国政府签证系统不安全”的证据，而是提醒我们：政府服务数字化以后，风险常常出现在官方入口之外。用户想省几分钟，可能把最难更换的身份凭证交给了最难追责的一环。